A la hora de contratar un producto online no sólo es necesario interesarse por las características sino que hay que mirar los aspectos legales que el cliente tiene que  tener en cuenta en la contratación de estos productos financieros, con especial referencia a la protección de datos. Sobre ello hablamos con Ignacio Bruna, responsable de Compliance, AML y protección de datos  de Banca Farmafactoring

Una persona que entra por primera en la Web o Portal de una entidad financiera, ¿en qué aspectos tiene que fijarse desde un punto de vista legal?

Los usuarios deberían comprobar la información legal que facilita la entidad. Esta información suele ser accesible mediante un enlace en la parte inferior de la home o página de inicio y contiene un resumen de toda la normativa legal que afecta a la entidad en cuestión. Si esta entidad es un banco, como es el caso de Banca Farmafactoring Sucursal en España, existe mucha normativa que regula o afecta en mayor o menor medida a la entidad.

¿Cuál es la normativa principal que afecta a las entidades bancarias y que debe o suele recogerse en la información legal de la Web?

La información legal obligatoria que debe facilitarse es:
- Un aviso legal.
- Una política de privacidad o apartado de protección de datos.
- Una política de cookies.
- Un aviso o apartado sobre seguridad online.
- Toda la información precontractual necesaria en cumplimiento de la normativa de
transparencia.
- Información sobre la clasificación de los productos financieros.
- Información sobre el Fondo de Garantía de Depósitos.
- Información sobre el procedimiento para realizar quejas o reclamaciones al SAC (Servicio
de Atención al Cliente).

Otra información legal sobre la que suele informarse es: información sobre la Ley de Prevención del blanqueo de capitales y la financiación del terrorismo así como información sobre la normativa FACTA y CRS para el intercambio de información fiscal.

Muy bien, de todo ello vamos a centrarnos en esta entrevista en los aspectos relacionados con la protección de los datos personales.

De acuerdo, es una de la normativas más relevantes que todo cliente o usuario de una entidad, especialmente si es un banco, debe conocer para defender sus derechos. En la sociedad actual es básico adquirir una cultura sobre protección de datos. Cualquier persona tiene que tomar conciencia de que la protección de datos es un derecho fundamental de las personas que le garantiza un poder de control sobre sus datos personales.


En primer lugar, ¿cuál es la normativa de protección de datos vigente en España?

En España la ley básica en la materia es la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, más conocida como la LOPD. Esta Ley se desarrolla por el Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD  A nivel comunitario, hasta ahora teníamos la Directiva 95/46 de Protección de Datos. Sin embargo, recientemente se ha aprobado un Reglamento General de Protección de Datos que deroga la Directiva anterior. Este Reglamento será directamente aplicable en los diferentes estados miembros de la UE, pero solo será de obligado cumplimiento a partir del 2018.

¿Cuál es el objeto de la normativa de protección de datos?

Garantizar y proteger los derechos de las personas físicas en los tratamientos de sus datos personales. Un dato de carácter personal es cualquier información concerniente a una persona física, por ejemplo, sus datos personales básicos como el nombre y apellidos, su dirección, teléfono, DNI, pero también sus datos económicos o sus ingresos, sus intereses o aficiones, su imagen, su voz, etc.

Esos datos personales se registran en ficheros, como conjunto organizado de datos de carácter personal. Estos ficheros pueden ser automatizados (una aplicación o programa informático) o no automatizados (expedientes en papel). Sobre cada uno de estos ficheros habrá un Responsable del Fichero, mientras que el afectado o interesado es la persona física titular de los datos que sean objeto de tratamiento.

Por tanto, toda entidad bancaria será Responsable del Fichero, dado que recoge y trata datos personales de sus clientes (además de otros tratamientos de datos que pueda realizar relativos a empleados, proveedores, candidatos a empleo, videovigilancia, etc.), siendo estos clientes (y el resto de colectivos sobre los que se puedan tratar datos) los titulares de sus propios datos.

¿Cuáles son las obligaciones principales de la normativa de protección de datos?

El Responsable del Fichero deberá tratar los datos cumpliendo una serie de obligaciones. Éstas son de dos tipos: legales y técnicas o relacionadas con las medidas de seguridad.

Las obligaciones principales son las siguientes:

- Deber de notificación de ficheros en la Agencia Española de Protección de Datos.
- Deber de informar a las personas sobre la existencia de un fichero o tratamiento, sus finalidades, quién es la entidad Responsable y su dirección, y sobre la existencia de los derechos que puede ejercer la persona.
- Deber de obtener en determinados casos el consentimiento de las personas para el tratamiento de sus datos así como para la cesión de sus datos personales a terceros. Los deberes mencionados de información y consentimiento se cumplen habitualmente por medio del clausulado adecuado en formularios de recogida (papel y web), contratos, etc.
- Deber de cumplir con el principio de calidad de datos. De acuerdo con este principio una entidad solo debe recoger datos adecuados, pertinentes y no excesivos, no los debe utilizar para fines incompatibles, los debe mantener actualizados y debe cancelarlos cuando no sean necesarios o pertinentes.
- Se debe atender los derechos de los interesados en el tratamiento de sus datos personales, son los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
- Por último, debe adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos de carácter personal. Las medidas afectan tanto a los tratamientos automatizados de datos (los datos tratados por un sistema o programa informático) como a los tratamientos no automatizados (el soporte papel).

¿Qué posibilidades tiene un cliente para evitar que su banco le envié comunicaciones publicitarias o promocionales?

En el ámbito de una relación contractual, como es la que se da entre un banco y sus clientes, es importante tener en cuenta que siempre que se obtengan datos para fines fuera de la relación contractual, como es el caso del tratamiento de datos con fines de publicidad o promoción comercial, en el momento de la recogida de datos se debe facilitar un medio para que el cliente manifieste su negativa al tratamiento con fines de publicidad, por ejemplo, mediante una casilla que si marca significa que NO autoriza el tratamiento de sus datos con esos fines. Otra forma es facilitar una dirección de correo electrónico a la que el cliente pueda escribir.

También hay que tener en cuenta que en caso de que la publicidad se remita por medios electrónicos (email, SMS) aplica otra normativa (la Ley de Servicios de la Sociedad de la Información), que requiere ofrecer en cada comunicación la posibilidad de oponerse a recibir publicidad en el futuro por un medio sencillo y gratuito (por ejemplo, escribiendo a una dirección de correo electrónico).

¿Qué sanciones se pueden imponer en caso de incumplimiento de la normativa de protección de datos?

La LOPD establece un catálogo de infracciones y sanciones, que podrían implicar sanciones económicas elevadas. La AEPD es quién tiene la facultad de velar por el cumplimiento de la normativa de protección de datos y de inspeccionar e imponer sanciones a las entidades que no las cumplan. Así debemos tener en cuenta que por una infracción muy grave la multa puede llegar a ser de hasta 600.000 euros.

No obstante, a veces el daño reputacional de una entidad en caso de infracción de la normativa o de violación de las medidas de seguridad puede ser más elevado que la propia multa económica. 

A modo de resumen, desde el punto de vista de un potencial cliente de una entidad financiera que accede por primera vez al Portal o Web de ésta, ¿cuáles son los principales aspectos que debe tener en cuenta en el ámbito de protección de datos de carácter personal antes de contratar un producto financiero?

Las posibles comprobaciones que puede realizar el potencial cliente sobre dicha entidad son:
- Comprobar en la Web de la AEPD que la entidad ha inscrito un fichero de CLIENTES.
- Leer la política de privacidad o apartado de protección de datos en la home o página de inicio.
- Cuando el cliente esté completando el formulario online con sus datos personales probablemente exista una cláusula de protección de datos que debe leer y aceptar.

Especialmente debe fijarse en que se establece un medio para el ejercicio de los derechos ARCO, en que se facilita un medio para manifestar la negativa al tratamiento de datos con fines publicitarios y en si se menciona las posibles cesiones de sus datos a terceros, por ejemplo, a la matriz o a empresas del grupo.

- Además, en el contrato de condiciones generales constará una cláusula de protección de datos que puede añadir más información a la recibida hasta ahora, por lo que antes de la firma (online o manuscrita) del contrato, debe prestarle atención a dicha cláusula.
- Si el cliente no está conforme con las informaciones facilitadas puede detener la contratación y solicitar las aclaraciones oportunas.
- Por último, es recomendable observar las medidas de seguridad que la entidad está utilizando en la captación de los datos personales en el proceso de contratación a distancia así como en el área cliente de la banca electrónica para garantizar que no se producen accesos no autorizados.